情報セキュリティマネジメント平成29年秋期 午前問2
問2
組織がJIS Q 27001:2014(情報セキュリティマネジメントシステム-要求事項)への適合を宣言するとき,要求事項及び管理策の適用要否の考え方として,適切なものはどれか。
分類
テクノロジ系 » セキュリティ » 情報セキュリティ管理
正解
イ
解説
JIS Q 27001では、組織がこの規格への適合を宣言する場合には、箇条4~箇条10に規定するいかなる要求事項の除外も認められないとしています。箇条4~箇条10で規定されているのは、4.組織の状況、5.リーダーシップ、6.計画、7.支援、8.運用、9.パフォーマンス評価、10.改善に関する汎用的な要求事項です。
したがって箇条4~箇条10の要求事項については「全ての適用が必要である」が適切です。
附属書Aは管理目的及び管理策の包括的なリストです。利用者は自組織の管理策を決定する際に、この附属書Aや他の管理策集から選定することができ、また、個々の要求に合わせて新しい管理策を導入することもできます。利用者には管理策の見落としがないように附属書Aを参照することが求められていますが、すべての管理策を実施することは要求されておらず、正当な理由があれば附属書Aの管理策を除外することができます。
したがって附属書Aの管理策については「妥当な理由があれば適用除外できる」が適切です。
適切な組合せである「イ」が正解です。
したがって箇条4~箇条10の要求事項については「全ての適用が必要である」が適切です。
附属書Aは管理目的及び管理策の包括的なリストです。利用者は自組織の管理策を決定する際に、この附属書Aや他の管理策集から選定することができ、また、個々の要求に合わせて新しい管理策を導入することもできます。利用者には管理策の見落としがないように附属書Aを参照することが求められていますが、すべての管理策を実施することは要求されておらず、正当な理由があれば附属書Aの管理策を除外することができます。
したがって附属書Aの管理策については「妥当な理由があれば適用除外できる」が適切です。
適切な組合せである「イ」が正解です。